forum.opennet.ru - "правила iptables" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"правила iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"правила iptables"
Сообщение от klez on 27-Окт-03, 23:11 (MSK)
что-то не могу понять почему когда вбиваю правила на шлюзе в цепочки input и output проподает интернет у клиентов я же не трогую цепочку forward??? поднят NAT
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

правила iptables, Sampan, 23:57 , 27-Окт-03, (1)
- правила iptables, Михаил, 09:12 , 28-Окт-03, (2)
  - правила iptables, klez, 11:35 , 28-Окт-03, (3)
    - правила iptables, Mikhail, 18:32 , 28-Окт-03, (5)
  - правила iptables, Sampan, 18:24 , 28-Окт-03, (4)
    - правила iptables, klez, 20:50 , 28-Окт-03, (6)
      - правила iptables, klez, 15:51 , 29-Окт-03, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "правила iptables"

Сообщение от Sampan on 27-Окт-03, 23:57  (MSK)

>что-то не могу понять почему когда вбиваю правила на шлюзе
>в цепочки input и output проподает интернет у клиентов я же не
>трогую цепочку forward???
>поднят NAT
Вот в NAT'e и вся загвоздка.
После преобразования адресов все выглядит так, будто это сам хост (шлюз с NAT'ом) генерит исходящие пакеты. Соответсвенно инициируются исходящие соединения с портов, определенных в
/proc/sys/net/ipv4/ip_local_port_range
Таким образом, необходимо разрешить в правилах output устанавливать соединения с этих портов и в правилах input принимать ответные пакеты (для параноиков здесь можно указать ESTABLISHED, RELATED)

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "правила iptables"

Сообщение от Михаил on 28-Окт-03, 09:12  (MSK)

>Вот в NAT'e и вся загвоздка.
>После преобразования адресов все выглядит так, будто это сам хост (шлюз с
>NAT'ом) генерит исходящие пакеты. Соответсвенно инициируются исходящие соединения с портов, определенных
>в
>/proc/sys/net/ipv4/ip_local_port_range
>Таким образом, необходимо разрешить в правилах output устанавливать соединения с этих портов
>и в правилах input принимать ответные пакеты (для параноиков здесь можно
>указать ESTABLISHED, RELATED)
не согласен!
согласно таблице 1 в https://www.opennet.ru/docs/RUS/iptables/index.html (да и не только по этой таблице, но и по другим докам) транзитные пакеты не проходят через цепочки INPUT и OUTPUT !!!
пакеты проходят через них только если исходят от локальных приложений или идут к ним.
а в данной ситуации надо внимательно смотреть, что же реально делает автор и что именно перестает работать...
не исключено, что помимо НАТ-а поднят сквид, и клиенты ходят через него... тогда, конечно, изменение цепочек INPUT и OUTPUT может повлиять на работу пользователей...

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "правила iptables"

Сообщение от klez on 28-Окт-03, 11:35  (MSK)

есть только nat и на этих же машинах поднят freeswan-vpn
ни какого сквида, вот текст:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT
пробовал включать 80 порт
iptables -A INPUT -p 80 -j ACCEPT
iptables -A OUTPUT -p 80 -j ACCEPT
клиентом нужно только  HTTP и видить другую локальную сеть
цепочку FORWARD  я не трогал???

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "правила iptables"

Сообщение от Mikhail on 28-Окт-03, 18:32  (MSK)

В конце каждой цепочки задай правило '-j LOG --log-prefix ...' и посмотри, на чем именно все рубится.
Может, '-A INPUT -i lo -p ALL -j ACCEPT' и '-A OUTPUT -o lo -p ALL -j ACCEPT' ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "правила iptables"

Сообщение от Sampan on 28-Окт-03, 18:24  (MSK)

>не согласен!
>согласно таблице 1 в https://www.opennet.ru/docs/RUS/iptables/index.html (да и не только по этой таблице,
>но и по другим докам) транзитные пакеты не проходят через цепочки
>INPUT и OUTPUT !!!
>пакеты проходят через них только если исходят от локальных приложений или идут
>к ним.
Не согласен - проверь.
Настрой форвард и НАТ. Запрети все исходящие в цепочке output (вполне допустимая ситуация - нет нужды устанавливать соединения со шлюза, только форвард). И посмотри что получится.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "правила iptables"

Сообщение от klez on 28-Окт-03, 20:50  (MSK)

Запрети все исходящие в цепочке output (вполне допустимая
>ситуация - нет нужды устанавливать соединения со шлюза, только форвард). И
>посмотри что получится.
а как же vpn???

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "правила iptables"

Сообщение от klez on 29-Окт-03, 15:51  (MSK)

Как же быть???

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "правила iptables"
Сообщение от Sampan on 27-Окт-03, 23:57 (MSK)
>что-то не могу понять почему когда вбиваю правила на шлюзе >в цепочки input и output проподает интернет у клиентов я же не >трогую цепочку forward??? >поднят NAT Вот в NAT'e и вся загвоздка. После преобразования адресов все выглядит так, будто это сам хост (шлюз с NAT'ом) генерит исходящие пакеты. Соответсвенно инициируются исходящие соединения с портов, определенных в /proc/sys/net/ipv4/ip_local_port_range Таким образом, необходимо разрешить в правилах output устанавливать соединения с этих портов и в правилах input принимать ответные пакеты (для параноиков здесь можно указать ESTABLISHED, RELATED)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "правила iptables"
	Сообщение от Михаил on 28-Окт-03, 09:12 (MSK)
	>Вот в NAT'e и вся загвоздка. >После преобразования адресов все выглядит так, будто это сам хост (шлюз с >NAT'ом) генерит исходящие пакеты. Соответсвенно инициируются исходящие соединения с портов, определенных >в >/proc/sys/net/ipv4/ip_local_port_range >Таким образом, необходимо разрешить в правилах output устанавливать соединения с этих портов >и в правилах input принимать ответные пакеты (для параноиков здесь можно >указать ESTABLISHED, RELATED) не согласен! согласно таблице 1 в https://www.opennet.ru/docs/RUS/iptables/index.html (да и не только по этой таблице, но и по другим докам) транзитные пакеты не проходят через цепочки INPUT и OUTPUT !!! пакеты проходят через них только если исходят от локальных приложений или идут к ним. а в данной ситуации надо внимательно смотреть, что же реально делает автор и что именно перестает работать... не исключено, что помимо НАТ-а поднят сквид, и клиенты ходят через него... тогда, конечно, изменение цепочек INPUT и OUTPUT может повлиять на работу пользователей...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "правила iptables"
	Сообщение от klez on 28-Окт-03, 11:35 (MSK)
	есть только nat и на этих же машинах поднят freeswan-vpn ни какого сквида, вот текст: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT iptables -A INPUT -p 50 -j ACCEPT iptables -A OUTPUT -p 50 -j ACCEPT iptables -A INPUT -p 51 -j ACCEPT iptables -A OUTPUT -p 51 -j ACCEPT пробовал включать 80 порт iptables -A INPUT -p 80 -j ACCEPT iptables -A OUTPUT -p 80 -j ACCEPT клиентом нужно только HTTP и видить другую локальную сеть цепочку FORWARD я не трогал???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "правила iptables"
	Сообщение от Mikhail on 28-Окт-03, 18:32 (MSK)
	В конце каждой цепочки задай правило '-j LOG --log-prefix ...' и посмотри, на чем именно все рубится. Может, '-A INPUT -i lo -p ALL -j ACCEPT' и '-A OUTPUT -o lo -p ALL -j ACCEPT' ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "правила iptables"
	Сообщение от Sampan on 28-Окт-03, 18:24 (MSK)
	>не согласен! >согласно таблице 1 в https://www.opennet.ru/docs/RUS/iptables/index.html (да и не только по этой таблице, >но и по другим докам) транзитные пакеты не проходят через цепочки >INPUT и OUTPUT !!! >пакеты проходят через них только если исходят от локальных приложений или идут >к ним. Не согласен - проверь. Настрой форвард и НАТ. Запрети все исходящие в цепочке output (вполне допустимая ситуация - нет нужды устанавливать соединения со шлюза, только форвард). И посмотри что получится.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "правила iptables"
	Сообщение от klez on 28-Окт-03, 20:50 (MSK)
	Запрети все исходящие в цепочке output (вполне допустимая >ситуация - нет нужды устанавливать соединения со шлюза, только форвард). И >посмотри что получится. а как же vpn???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "правила iptables"
	Сообщение от klez on 29-Окт-03, 15:51 (MSK)
	Как же быть???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх